日本語
Deutsch
English
Español
Français
Italiano
Português
Русский
العربية
हिन्दी
简体中文
Android
iOS
Mac
Windows
iShredder は NIST SP 800-88 と互換性がありますか? 適合宣言はありますか?
本自己宣言は、iShredder™ ソフトウェア(Android、iOS、Windows、macOS、Windows Server 向け)が、NIST Special Publication 800-88 Revision 1 – Guidelines for Media Sanitization の指針を実装していることを確認するものです。この文書は、米国国立標準技術研究所(NIST)によって公開され、不可逆的なデータ削除(「メディアのサニタイズ」)に関するベストプラクティスを定めています。
NIST SP 800-88 では、3 つのセキュリティレベルが区別されています。
- Clear(論理削除/上書き)
- Purge(ハードウェア消去コマンドや暗号処理を含む強化手法)
- Destroy(物理破壊)
NIST SP 800-88 は従来の意味での認証可能な規格ではないため、適合性の証明は、推奨手法の実装と、消去プロセスの完全な文書化によって行われます。政府機関からクラウド事業者まで、多くの組織が安全なデータ廃棄を確実にするために、このガイドラインを採用しています。
1. データ分類と消去方式の選択
NIST SP 800-88 は、適切な消去方式(Clear、Purge、Destroy)の選択はデータ分類に基づいて行うべきだと強調しています。
- Clear:機密性の低いデータに適しています。
- Purge:高度なフォレンジック解析からも守る必要があるデータ向けです。
- Destroy:絶対に復元されてはならず、媒体の再利用も不要な場合に用いられます(物理破壊)。
iShredder™ は、関連する手法を利用可能にすることで、この選定プロセスを支援します。管理者や責任者は、必要な保護レベル(Clear/Purge)に応じて適切な機能を選択し、記録できます。
2. NIST SP 800-88 におけるデータ消去要件
2.1 Clear
- 定義:
あらかじめ定義されたパターン(ゼロや乱数など)で、ユーザーがアドレス指定可能なすべての領域に対して、少なくとも 1 回上書きを行う論理的消去方式です。 - 目的:
一般的なソフトウェアツールではデータを復元できないようにすることです。 - 制限:
ごく稀に、古い HDD などでは専門的なラボ手法によって痕跡が見つかる可能性があるため、極めて機密性の高いデータには Clear だけでは不十分な場合があります。
2.2 Purge
- 定義:
高度なフォレンジック解析にも耐える強化手法です。複数回上書きに加え、特にハードウェアコマンド(Secure Erase、Sanitize)や暗号的消去(Crypto Erase)が含まれます。 - 目的:
HPA/DCO や SSD のウェアレベリング予備領域など、アクセスしにくい領域も確実に消去することです。 - 代表的な手法:
ATA Secure Erase または Sanitize コマンド(Block Erase、Crypto Erase)。
HPA(Host Protected Area)および DCO(Device Configuration Overlay)の解除/削除。
暗号化ドライブや Secure Enclave 搭載 iOS デバイスにおける暗号鍵破棄(Crypto Erase)。
2.3 Destroy
- 定義:
裁断、粉砕、焼却などの物理破壊により、復元を実質的に不可能にする方法です。 - 用途:
媒体を再利用しない場合、または損傷が激しくソフトウェア方式(Clear/Purge)が機能しない場合に推奨されます。
3. iShredder™ における実装
iShredder™ は、NIST SP 800-88 が定義するClear と Purge の消去方式を、異なるプラットフォーム環境(Android、iOS、Windows、macOS、Windows Server)で利用できるよう設計されています。さらに、自動検証と詳細な消去レポートの作成もサポートしています。
3.1 iShredder™ の Clear 手順
- 単回上書き:
iShredder™ は既定で、対象媒体のすべての論理セクターを、固定パターンまたは乱数パターン(たとえば 0x00、0xFF、またはランダムバイト)で上書きします。 - 検証:
書き込み後、iShredder™ は必要に応じて抜き取り検証または全体検証を行い、すべての領域が正しく上書きされたかを確認できます。 - 文書化:
各消去処理について、iShredder™ は以下を含む消去ログを作成します。
- 日時
- 実施担当者
- デバイスまたはドライブ情報(シリアル番号、モデル)
- 使用した消去パターン
- 検証結果(読み出したセクター数、発生したエラー)
これにより、iShredder™ は Clear に関する NIST 要件を満たします。
3.2 iShredder™ の Purge 手順
Purge は一部で Clear と同じ技術を用いますが、さらにハードウェア支援または暗号的な消去方式を加えることで、高度なフォレンジック復元の試みを無効化します。
ハードウェアコマンド:
- 対応する HDD/SSD に対する ATA Secure Erase または Sanitize(Overwrite EXT、Block Erase、Crypto Erase)。
- HPA および DCO を解除/削除し、隠れたセクターが未処理のまま残らないようにします。
- デバイスによっては、内部ストレージコントローラに対して、すべてのフラッシュブロックやキャッシュ領域の消去を指示するメーカー固有のリセット手順を実行します。
暗号的消去(Crypto Erase):
自己暗号化ドライブ(SED) や iOS デバイス(Secure Enclave) に対しては、iShredder が暗号鍵を意図的に破棄できます。鍵がなければデータは読み取れません。
さらに、必要に応じて、すべてのセクターが再書き込みされたか、もはや読み出せない状態かを確認する検証工程も利用できます。
検証とレポート:
選択した Purge 手順の実行後、iShredder™ は検証を行います。結果はすべて、署名可能な Erasure Report(「NIST Purge status」を含む)に記録されます。
これにより、iShredder™ は Purge に関する NIST 要件も満たします。これは、ウェアレベリング機構のために単純な複数回上書きだけでは不十分になりうる SSD やモバイル機器において特に重要です。
3.3 Destroy 手順
iShredder™ 自体は 物理破壊(Destroy)を行いません。もし媒体が、
大きく損傷していて完全に上書きできない、または極めて高い保護区分のデータを含み再利用してはならない場合は、NIST SP 800-88 に従い、物理破壊が唯一の適切な方法となることがあります。
そのような場合、iShredder™ は消去処理が完了しなかったこと(たとえば不良セクターの存在など)を記録し、必要に応じて組織側で Destroy を開始できるようにします。
4. 特殊な保存媒体シナリオへの対応
4.1 損傷した、または「扱いにくい」媒体
NIST SP 800-88 によれば、損傷したドライブではソフトウェアからすべてのセクターにアクセスできない場合があります。iShredder™ はそのような不良領域を検出して記録します。論理的上書きが不可能であれば、残留データを確実に無効化するために 物理破壊(Destroy)が推奨されます。
4.2 仮想環境/クラウドストレージ
仮想ディスク: iShredder™ は、仮想ドライブを廃棄する前に、VM 内のすべてのデータ領域に対して Clear/Purge を実行できます。
クラウドでの暗号的消去: 多くのクラウドプロバイダは、顧客データを既定で暗号化し、プロビジョニング解除時には鍵を削除するだけで Crypto Erase を実現しています。基盤ストレージへ物理的にアクセスできる環境では、iShredder™ がこのクラウド側の鍵破棄を補完することも可能です。
4.3 モバイル端末(iOS/Android)
- iShredder™ iOS: ハードウェアベースのセキュリティコア(Secure Enclave)を利用し、システム暗号鍵を削除することで Purge 相当を実現できます。
- iShredder™ Android: 上書き方式を実装しており、さらに対応端末では OEM の Secure Erase 機能など、メーカー固有コマンドのサポートによって Purge レベルの実現を目指しています。
5. 検証とレポート
NIST の重要要件の 1 つが、消去が成功したかを確認する検証(Verify)です。iShredder™ は消去処理中に自動的に以下を提供します。
Full Verify:
最高水準の安全性のために、完全検証を実行できます。
Erasure Report:
シリアル番号、時刻、消去方式、検証結果など、関連情報をすべて含みます。必要に応じて改ざん防止の署名を施し、ISO 27001、GDPR、社内資産廃棄プロセスなどの監査へ組み込むこともできます。これは、NIST SP 800-88 Revision 1 の Appendix G(Sample Certificate of Sanitization)の要件も支援します。
6. 組織面とコンプライアンス
- 組織側の責任:
NIST SP 800-88 への準拠には、Clear、Purge、Destroy のどれを適用するかを組織が内部で定義する必要があります。iShredder™ は技術的な手段を提供しますが、最終的な判断はユーザー側にあります。 - その他の規格(GDPR、ISO 27001、HIPAA など):
NIST SP 800-88 は多くの場合「技術水準」の基準として受け入れられており、GDPR、PCI-DSS、HIPAA など他のプライバシー・セキュリティ要件への対応にも役立ちます。NIST に準拠した消去プロセスは、たとえば GDPR に沿ったデータ削除を容易にします。 - 制限事項:
損傷媒体や改ざんされたファームウェアなど、ごく一部のケースでは完全な Purge や Clear を実行できない場合があります。その際は Destroy や代替手法を使う必要があります。iShredder™ はそのような例外ケースを明示します。
7. 要約
iShredder™ ソリューションは、NIST SP 800-88 Revision 1 の中心的要件をすべて満たしています。
- Clear:アドレス指定可能なすべての領域に対する少なくとも 1 回の上書きと、その後の検証。
- Purge:特に SSD やモバイル機器に対して高いセキュリティ要件を満たす、ハードウェア支援の Secure Erase/Sanitize コマンドまたは暗号的消去。
- Destroy:ソフトウェアの範囲外であるため、iShredder™ 自体では実装していません。必要な場合には、iShredder™ が消去状態を記録し、組織側で Destroy を開始できるようにします。
NIST への適合アプローチと、検証・レポート機能を含む包括的な文書化によって、iShredder™ は削除済みデータの復元を不可能にします。これにより、企業、官公庁、その他の組織は、法令順守、監査可能性、国際的認知を備えたデータ廃棄を実現できます。
法的注意事項
NIST SP 800-88 は広く認められたガイドラインですが、正式な認証規格ではありません。Clear、Purge、Destroy の選択と実行責任はユーザーまたは組織にあります。
物理破壊 は、特に機密性の高い媒体や故障媒体で必要になる場合があります。iShredder はソフトウェアベースの消去方式のみを実行します。
免責事項: 消去手順の有効性は、ハードウェアが正常であり、ドライブが正しく機能していることを前提としています。ファームウェア障害やハードウェア破損がある場合、完全なソフトウェア消去が不可能なことがあります。
出典
NIST Special Publication 800-88 Revision 1 – Guidelines for Media Sanitization
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
公開されている適合性声明およびホワイトペーパー
- 例:AWS (aws.amazon.com)、Microsoft Azure (azure.microsoft.com)
- クラウド基盤における NIST SP 800-88 の実装
iShredder™ に関する社内製品文書および技術ホワイトペーパー
- アルゴリズム、検証、デバイス互換性の詳細情報
- https://www.protectstar.com
本宣言は、iShredder™ ソフトウェアの現在の開発状況を、当社の知る限り正確に反映したものです。 iShredder™ に実装された機能(Clear/Purge と検証・文書化)により、NIST SP 800-88 Revision 1 の要件は満たされています。したがって、組織はデータ削除が成功したことの監査可能な証明を維持できます。